密碼學(xué)：了解物理不可克隆功能的優(yōu)勢

介紹

在密碼學(xué)和嵌入式安全IC中，PUF用于創(chuàng)建按需生成的密鑰，一旦使用就會立即擦除。PUF依賴于隨機(jī)物理因素（不可預(yù)測和不可控制），這些因素是原生存在的和/或在制造過程中偶然引入的。這就是為什么幾乎不可能復(fù)制或克隆的原因。PUF 技術(shù)原生為其關(guān)聯(lián)的安全 IC 生成數(shù)字指紋，該指紋可用作唯一的密鑰/機(jī)密，以支持加密算法和服務(wù)，包括加密/解密、身份驗(yàn)證和數(shù)字簽名。

除了加密操作的瞬時持續(xù)時間外，PUF 密鑰值永遠(yuǎn)不會以數(shù)字形式存在于安全 IC 的電路中。此外，由于密鑰是根據(jù)電路元件的物理特性按需派生和生成的，因此它們永遠(yuǎn)不會存在于器件的非易失性存儲器中。任何通過微探測或其他侵入性技術(shù)發(fā)現(xiàn)PUF密鑰的嘗試都會破壞用于構(gòu)建PUF密鑰的敏感電路，并使輸出無用。因此，它們提供了當(dāng)今嵌入式系統(tǒng)中非常理想的安全級別。

在這個簡短的課程中，您將通過簡化的假設(shè) PUF 體系結(jié)構(gòu)及其用法更好地了解為什么基于 PUF 的密鑰生成可以在加密應(yīng)用程序中提供如此出色的保護(hù)。

PUF 示例

圖 1 顯示了兩個獨(dú)立的示例設(shè)備，每個設(shè)備都有一個基于 64 位 PUF 的密鑰（這是一個簡化的一般視圖）。

圖1.此圖顯示了兩個設(shè)備及其 PUF 密鑰生成塊。

PUF – 密鑰生成

圖 1 中的每個器件都有 64 個不同的 PUF 模塊，可生成 1 位數(shù)據(jù)。然后移動位以創(chuàng)建 64 位密鑰?，F(xiàn)在我們的目標(biāo)是為這些設(shè)備中的每一個提供獨(dú)立的密鑰，這些密鑰在電壓、溫度和期限內(nèi)都是可重復(fù)的。設(shè)備 1 將生成一個密鑰，該密鑰將具有與設(shè)備 2 生成的密鑰不同的足夠數(shù)量的位。但是，每個器件按鍵在指定的電壓和溫度范圍內(nèi)將保持不變。

讓我們詳細(xì)考慮其中一個設(shè)備的 PUF 塊的潛在實(shí)現(xiàn)。

數(shù)據(jù)位生成（簡化的一般視圖）

在圖2中，我們展示了一種基于環(huán)形振蕩器頻率變化的簡單PUF實(shí)現(xiàn)方案。在本應(yīng)用筆記的后面部分，我們將對環(huán)形振蕩器進(jìn)行擴(kuò)展，并了解為什么它們對模塊的每個實(shí)例產(chǎn)生略有不同的頻率。

圖2.PUF 數(shù)據(jù)位生成使用環(huán)形振蕩器。

現(xiàn)在，我們假設(shè)每個PUF模塊都有兩個環(huán)形振蕩器，它們產(chǎn)生略有不同的頻率。在 PUF 塊 1 中，F(xiàn)1 將與 F2 略有不同，這將允許比較塊根據(jù) F2 是否比 F1 快生成位 0 或位 1。

這種設(shè)計如何幫助解決電壓、溫度和年齡變化？我們將比較兩個值以生成位，而不是基于一個頻率輸出。因此，如果電壓越高，F(xiàn)2 也會增加，但兩個值之間的增量應(yīng)該保持不變。這導(dǎo)致使用不同的施加電壓產(chǎn)生相同的位值。溫度和老化的影響可以通過類似的方式減輕。

當(dāng) PUF 塊 2 到 64 被實(shí)例化時，它們內(nèi)部的環(huán)形振蕩器塊將以不可預(yù)測的方式產(chǎn)生略有不同的頻率。這會導(dǎo)致位 1 到 64 的位模式不可預(yù)測。雖然整體位模式不能預(yù)測，但實(shí)際生成的位模式是可重復(fù)的，因?yàn)槊總€塊總是產(chǎn)生相同的位。

現(xiàn)在讓我們看一個簡化的環(huán)形振蕩器設(shè)計。

簡化的 PUF 元件 – 環(huán)形振蕩器

環(huán)形振蕩器由奇數(shù)個逆變器構(gòu)成，如圖3所示。振蕩器的輸出頻率取決于環(huán)形每個級的延遲。從IC的角度來看，這種延遲取決于晶圓特性，包括構(gòu)成逆變器級的每個晶體管的氧化物厚度、電容和閾值電壓。由于半導(dǎo)體制造工藝的缺陷和變化，所有這些參數(shù)都略有變化，并且完全隨機(jī)。無論過程如何控制，都不可能避免這種隨機(jī)變化。所有這些對于PUF實(shí)現(xiàn)來說都是一件好事，因?yàn)樯傻拿荑€需要具有加密質(zhì)量的隨機(jī)性。

圖3.由奇數(shù)個逆變器構(gòu)成的簡化的PUF元件環(huán)形振蕩器。

PUF為密碼學(xué)帶來的主要價值是對它從電路元件的物理特性派生和產(chǎn)生的密鑰/機(jī)密值的固有保護(hù)。如環(huán)形振蕩器示例所述，閾值電壓、電容和柵極氧化層厚度等電敏感參數(shù)直接影響電路的延遲。為了獲取密鑰而探測或修改 PUF，會永久修改和破壞這些敏感特征。這會導(dǎo)致 PUF 輸出的密鑰值發(fā)生變化，使其無用，并使加密 IC 永久不起作用。同樣，任何對PUF進(jìn)行逆向工程和克隆的嘗試都會導(dǎo)致電路無法輸出對部署安全I(xiàn)C的系統(tǒng)環(huán)境正確的密鑰值。

芯片脫氧核酸?聚氨酯技術(shù)

Maxim Integrated已經(jīng)開發(fā)出一種名為ChipDNA的PUF技術(shù)。它不像假設(shè)的例子那樣基于環(huán)形振蕩器。相反，ChipDNA從根本上從MOSFET半導(dǎo)體器件的模擬特性的自然隨機(jī)變化和不匹配中運(yùn)行。這種隨機(jī)性源于與前面描述的類似的因素：氧化物變化、閾值電壓的器件間不匹配、互連阻抗以及晶圓制造中通過不完美或不均勻的沉積和蝕刻步驟存在的變化。ChipDNA還采用專利方法運(yùn)行，以確保每個PUF電路生成的唯一二進(jìn)制值具有高加密質(zhì)量，并保證在溫度，電壓和器件使用壽命內(nèi)可重復(fù)。

芯片DNA應(yīng)用

圖4和圖5顯示了集成到安全認(rèn)證器加密IC中的ChipDNA PUF技術(shù)的用例。

保護(hù)存儲的數(shù)據(jù)

圖4.受ChipDNA保護(hù)的SHA-3身份驗(yàn)證器可保護(hù)存儲的數(shù)據(jù)。

在這種情況下，我們在需要時使用 ChipDNA PUF 密鑰來解密用于身份驗(yàn)證序列的 EEPROM 存儲的 SHA3 密鑰。任何從EEPROM獲取密鑰的嘗試都將導(dǎo)致AES加密數(shù)據(jù)對攻擊者毫無用處。此外，任何探測 PUF 的努力都會導(dǎo)致其操作永久中斷，導(dǎo)致設(shè)備無法操作，并且再次對攻擊者無用。但是，如果設(shè)備未被篡改，它將通過按需生成 PUF 密鑰并解密 SHA-3 機(jī)密以進(jìn)行瞬時身份驗(yàn)證操作來忠實(shí)地實(shí)現(xiàn)其目的。

用于身份驗(yàn)證的密鑰生成

圖5.受 ChipDNA 保護(hù)的 ECDSA 身份驗(yàn)證器提供按需密鑰生成。

在圖5中，ChipDNA PUF密鑰直接用作ECDSA簽名計算的私鑰。根據(jù)定義，對于ECDSA，私鑰是一個隨機(jī)數(shù)。ChipDNA是理想的，因?yàn)樗鼤a(chǎn)生高加密質(zhì)量的隨機(jī)數(shù)。對于非對稱ECDSA，還需要一個公鑰來驗(yàn)證簽名，它在數(shù)學(xué)上與私鑰相關(guān)聯(lián)。由于PUF密鑰和本例中的ECDSA私鑰永遠(yuǎn)不會暴露在IC外部，因此公鑰將由器件內(nèi)的ECC引擎計算并存儲在EEPROM中，以便在請求時傳輸?shù)街鳈C(jī)控制器。

第二個例子還展示了ChipDNA PUF在有利于關(guān)鍵基礎(chǔ)設(shè)施和管理的范圍內(nèi)。在更復(fù)雜的用例中，ChipDNA成為安全I(xiàn)C的不可變根密鑰。

審核編輯：郭婷